Linux:Logging
리눅스 로깅 관련 내용 정리.
Login/Logout
리눅스 명령어 lastb는 접속 실패 기록을 보여주는 명령어다. last 명령어가 로그인 기록과 재부팅 기록을 보기 위해 /var/log/wtmp
파일을 열람한다면, lastb는 /var/log/btmp
파일을 열람하여 실패 목록을 보여준다. lastb는 접속 실패를 기록하는 파일인 /var/log/btmp
파일을 열람한다는 것을 제외하고는 last명령어와 같다.
pam
- CentOS 7
-
/etc/pam.d/common-auth
- Ubuntu 14.04 LTS
-
/etc/pam.d/common-auth
Log files
utmp 로그 파일
- 현재 로그인한 사용자의 상태정보를 담고 있는 로그 파일
- binary 파일로 되어 있으며 "w", "who", "finger"등의 명령어로 확인할 수 있다.
- 위치 : /var/run/utmp
- "w" 명령어
- USER : 로그인 계정, TTY : 터미널 장치 명, FROM : 원격 호스트 주소, LOGIN@ : 로그인한 시간
- IDLE : 아무 입력도 수행하지 않은 idle 시간, WHAT : 현재 수행하는 작업(명령어)
wtmp 로그파일
- 사용자의 성공한 로그인/로그아웃, 시스템의 Boot/Shutdown 정보에 대한 히스토리를 담고 있는 로그파일
- binary 파일로 되어 있으며 "last"명령어로 확인할 수 있다.
- 위치 : /var/log/wtmp
- "last" 명령어
- 인자값 없이 실행하면 모든 계정에 대한 로그인/로그아웃 정보를 출력한다. 특정 계정에 대한 로그인/로그아웃 정보를 보려면 "last [ USER ]" 형식으로 실행한다
- 순서대로 계정명, 터미널 타입, 접속 주소, 로그인 시간, 로그아웃 시간
- reboot 사용자를 통해 Boot 정보를 알 수 있다.
lastlog파일
- 가장 최근에 성공한 로그인 기록을 담고 있는 로그 파일
- binary파일로 되어 있으며 "lastlog"를 통해 확인 가능
- 위치 : /var/log/lastlog
- lastlog 명령어
- 모든 계정의 최근 접속 기록을 확인할 수 있다.
- "-u 계정명" 옵션으로 사용자를 지정하여 확인할 수 있다.
- "-t 일수" 옵션으로 해당 일수 이내에 접속한 기록을 확인할 수 있다.
btmp 로그 파일
- 실패한 로그인 시도에 대한 기록을 담고있는 파일
- binary파일로 되어 있으며 "lastb"명령어를 통해 확인할 수 있다.
- 위치 : /var/log/btmp
history 로그 파일
- 각 계정별로 실행한 명령어에 대한 기록을 저장한 파일
- 각 계정별 홈 디렉토리에 존재
- ".쉘 종류_history" 형식의 텍스트 파일로 생성되며 "history"명령어를 통해 확인 가능
secure 로그 파일
- 주로 사용자/그룹 생성/삭제, 로그인 등의 사용자 인증에 대한 정보를 기록하고 있는 로그파일
- 원격에서 접속한 내역과 su명령을 수행한 내역 등이 저장된다.
- 위치 : /var/log/secure
messages 로그 파일
- 리눅스 시스템의 가장 기본적인 시스템 로그 파일로 시스템 운영에 대한 전반적인 메세지를 저장
- 주로 시스템 데몬들의 실행상황과 내역, 사용자들의 접속정보, TCP Wrapper 접근 제어 정보 등을 저장
- 위치 : /var/log/messages
dmesg 로그 파일
- 리눅스가 부팅될 때 출력되는 모든 메세지를 기록
- 부팅 시의 에러나 조치사항을 살펴보려면 이 파일을 참조
- 텍스트 형식의 로그파일을 보거나 dmesg명령을 통해 내용을 확인할 수 있다.
- 위치 : /var/log/dmesg
boot.log 로그 파일
- 리눅스가 부팅될 때 파일 시스템에 대한 체크, 서비스 데몬들의 실행 상태 등을 기록
- 성공 / 실패 여부가 기록됨
- 위치 : /var/log/boot.log
xferlog 로그 파일
- 리눅스 시스템의 FTP 로그 파일로서 proftpd, vsftpd 데몬들의 서비스 내역을 기록하는 파일
- FTP로 로그인하는 사용자에 대한 기록과 어떤 파일을 업로드/다운로드 했는지 기록된다.
- 위치 : /var/log/xferlog
cron 로그 파일
- 시스템의 정기적인 작업에 대한 로그, 즉 시스템 cron 작업에 대하여 기록하고 있는 파일
- /etc 디렉토리에 cron.hourly, cron.daily, cron.weekly, cron.monthly 들의 디렉터리들은 각각 시간별, 일별, 주별, 월별로 정기적으로 운영체제에서 자동 실행할 작업 스크립트 파일들이 존재하고 있다.
- 위치 : /var/log/cron
mail 로그 파일
- 사용자들에 대한 메일을 보고나하고 있는 디렉터리로서 메일을 한번 이상 사용한 사용자는 사용자 계정 ID와 동일한 파일이 하나씩 존재한다.
- 사용자 계정 생성 시에 /var/spool/mail 디렉토리 내에 생성하는 계정명과 동일한 메일 파일이 생성된다.
- 메일을 읽은 후에 사용자의 메일 디렉터리로 저장하거나 삭제했을 경우에는 이 파일에서 내용이 삭제된다.
- 위치 : /var/spool/mail
maillog 로그 파일
- sendmail 또는 qmail 등과 같은 메일 송수신 관련 내역들과 ipop 또는 imap 등과 같은 수신 내역들을 기록
- 메일에 관련된 거의 모든것을 기록
- 위치 : /var/log/maillog